← Alle Depeschen

Werkzeugeneu

Claude Code markierte China-nahe Anfragen über versteckte Signale im System-Prompt – Anthropic rollt zurück

Eine technische Analyse machte Ende Juni 2026 öffentlich, dass Claude Code seit Version 2.1.91 (2. April 2026) verdeckt prüfte, ob eine Anfrage über einen China-nahen Proxy oder eine chinesische Zeitzone lief, und das Ergebnis als unsichtbare Unicode-Varianten in der Datumszeile des System-Prompts an Anthropic zurückmeldete. Anthropic bestätigte einen als „Experiment“ deklarierten Mechanismus gegen Missbrauch durch nicht autorisierte Reseller und Modell-Distillation und kündigte den vollständigen Rückbau an.

Laut einer Ende Juni 2026 veröffentlichten technischen Analyse aktivierte Claude Code eine versteckte Erkennung, sobald Anfragen nicht über Anthropics eigene Server, sondern über einen selbst gesetzten API-Endpunkt (Umgebungsvariable ANTHROPIC_BASE_URL) liefen. Das Werkzeug las dann die System-Zeitzone (u. a. Asia/Shanghai und Asia/Urumqi) und glich den Proxy-Hostnamen gegen eine verschleierte Liste von 147 Einträgen ab – chinesische Firmennetze, Cloud-Regionen, KI-Labore sowie zahlreiche Reseller- und Mirror-Dienste für die Claude-API. Eine zweite Liste enthielt elf KI-Labor-Schlüsselwörter (darunter deepseek, moonshot, minimax, zhipu, baichuan, stepfun, dashscope), base64-kodiert und zur Laufzeit per XOR mit dem Schlüssel 91 entschlüsselt.

Das Klassifikationsergebnis wurde anschließend als unsichtbare Unicode-Varianten in der Zeile „Today’s date is …“ des System-Prompts kodiert und so bei jeder Anfrage verdeckt an Anthropic übermittelt – ohne sichtbaren Hinweis für die Nutzerinnen und Nutzer. Der Code wurde der Analyse zufolge in Version 2.1.91 (2. April 2026) eingeführt und war noch in späteren 2.1.x-Versionen aktiv.

Thariq Shihipar aus dem Claude-Code-Team ordnete den Mechanismus öffentlich als „ein Experiment ein, das wir im März gestartet haben“ und das Account-Missbrauch durch nicht autorisierte Reseller sowie die Distillation der Modelle verhindern sollte. Man habe stärkere Gegenmaßnahmen eingeführt und werde die Funktion in der nächsten Version „vollständig zurücknehmen“.

Einordnung: Die Angaben zum Mechanismus stammen aus der ursprünglichen technischen Analyse und wurden von mehreren Fachmedien unabhängig nachgezeichnet; eine amtliche oder vollständige Aufarbeitung durch Anthropic über die zitierte Stellungnahme hinaus lag zum Zeitpunkt der Veröffentlichung nicht vor. Für den Werkzeug-Katalog der KI-Depesche ist der Vorgang auf der Claude-Code-Seite als datierte kritische Stimme vermerkt.